[原创]NGN技术与安全

jzmacheng

0.引言

　　NGN是目前通信业界关注和探讨的一个热点话题，网络运营商、设备制造商和众多技术论坛都在关注NGN，纷纷提出各自对NGN的设想，从不同角度描绘NGN。迄今为止，全球范围内已经有多家电信运营商积极开展了在NGN方面的试验和商用部署。国外在这方面起步比较早，包括欧洲、北美的一些国家，很早就投入到标准和设备的研究中去，已经研制出多种网络设备，并进行了多方位的试验。

　　随着技术和产品的成熟，NGN在我国也受到越来越多的关注，国内的各大电信运营商都开始进行相关的试验或组网。其中，中国网通从2001年2月开始试验，2001年底在北京、杭州、广州、宁波等地建设商用试验网，目前已经准备对现有的NGN网络进行扩容，以扩大自己的话音市场份额；中国铁通于2002年3月开始其软交换商用试验网建设工作，目前已开始试运营；中国电信也于2002年初开始在广州、深圳、上海、杭州四城市进行NGN试验。

　　1.NGN与软交换

　　NGN，即"下一代网络（Next-generationnetwork）"，是一种全新的电信网络体系架构，它融合了IP技术和多媒体通信技术，提出了分组、分层、开放的概念，从面向管理的传统电信网络转变成面向客户、面向业务的新一代网络。

　　NGN并不是电信网、计算机网和有线电视网的物理结合，它主要是在高层业务应用上的融合，在网络层上实现互联互通，在应用层上使用统一的IP协议，所以，NGN的概念可以总结为：NGN是以业务驱动为特征的网络，让电信与电视和数据业务灵活地构建在一个统一的开放平台上，构成可以提供现有3种网络上的语音、数据、视频和各种业务的网络解决方案。从NGN的概念出发，可以看到NGN的一个核心思想：媒体与业务分离，媒体与控制分离，即业务驱动，业务与网络分离。用户可以自行配置和定义自己的业务特征而不必关心承载业务的网络形式以及终端类型，使得业务和应用的提供有较大的灵活性，从而满足用户不断发展更新的业务需求，也使得网络具备了可扩展性和快速部署新业务的能力，使网络运营者更具竞争力。

　　NGN网络根据不同的功能可将网络分解成以下4个功能层面：

　　a)业务和应用层：处理业务逻辑，其功能包括IN（智能网）业务逻辑、AAA（认证、鉴权、计费）和地址解析，且通过使用基于标准的协议和API来发展业务应用。

　　b)控制层：负责呼叫逻辑，处理呼叫请求，并指示传送层建立合适的承载连接。控制层的核心设备是软交换，软交换需要支撑众多的协议接口，以实现与不同类型网络的互通。

　　c)传送层：指NGN的承载网络。负责建立和管理承载连接，并对这些连接进行交换和路由，用以响应控制层的控制命令，可以是IP网或ATM网。

　　d)边缘接入层：由各类媒体网关和综合接入设备（IAD）组成，通过各种接入手段将各类用户连接至网络，并将信息格式转换成为能够在分组网络上传递的信息格式。

　　NGN需要得到许多新技术的支撑，虽然ITU-T要等到2004年才会做一个清晰的规定，但目前为大多数人所接受的NGN相关技术是：采用软交换技术实现端到端业务的交换；采用IP技术承载各种业务，实现三网融合；采用IPv6技术解决地址问题，提高网络整体吞吐量；采用MPLS（多协议标签交换）实现IP层和多种链路层协议（ATM/FR、PPP、以太网，或SDH、光波）的结合；采用OTN（光传输网）和光交换网络解决传输和高带宽交换问题；采用宽带接入手段解决"最后一公里"的用户接入问题。因此，可以预见实现NGN的关键技术是软交换技术、高速路由/交换技术、大容量光传送技术和宽带接入技术。其中软交换技术是NGN的核心技术。

　　软交换是NGN的控制功能实体，为NGN提供具有实时性要求的业务呼叫控制和连接控制功能。

　　软交换设备位于控制层，提供多种业务的连接控制、路由、网络资源管理、计费、认证等功能。软交换设备与各种媒体网关、终端、应用服务器及其它软交换设备间采用标准协议相互通信。简单地看，软交换是实现传统程控交换机的“呼叫控制”功能的实体，但传统的“呼叫控制”功能是和业务结合在一起的，由于不同的业务所需要的呼叫控制功能不同，因此要求软交换提供的呼叫控制功能是各种业务的基本呼叫控制。

　　软交换技术采用了电话交换机的先进体系结构，并采用IP网中的IP包来承载话音、数据以及多媒体流等多种信息。目前软交换主要完成以下功能：媒体网关接入功能、呼叫控制功能、业务提供功能、互连互通功能（H323和SIP、IN）、支撑开放的业务/应用接口功能、认证与授权功能、计费功能、资源控制功能和QoS管理功能、协议和接口功能等。

　　用传统的电话交换机和软交换机比较，就不难看出软交换技术与传统技术的关系，和他们之间的异同。一部程控电话交换机可以划分为业务接入、路由选择(交换)和业务控制3个功能模块，各功能模块通过交换机的内部交换网络连接成一个整体。软交换技术是将上述3个功能模块独立出来，分别由不同的物理实体实现，同时进行了一定的功能扩展，并通过统一的IP网络将各物理实体连接起来，构成了软交换网络。电话交换机的业务接入功能模块对应于软交换网络的边缘接入层；路由选择(交换)功能模块对应于软交换网络的控制层；业务控制模块对应于软交换网络的业务应用层；IP网络构成了软交换网的核心传送层。由于软交换机只是控制业务的接续，而用户之间的数据流是不经过软交换机的软交换网中各网元之间均是将各种控制信息和业务数据信息封装在IP数据包中，通过核心传送层的IP网进行通信。

　　2.NGN关键技术领域

　　NGN是目前运营商和设备厂商都在讨论的热点技术，也是国外许多标准化组织和论坛包括ITU-T的第11和16工作组，IETF的IPTelephony工作组、信令传输工作组(Sigtran)、媒体网关控制工作组(Megaco)，ETSI的Tiphon，国际软交换协会(ISC)，3GPP，3GPP2，MPLS论坛，ATM论坛，DVB，DSL论坛，PARLAY等的研究工作重点。ITU-T认为NGN是全球基础设施GII的具体实现，NGN代表了网络融合的发展趋势，其实现方式是多种多样的，网络互通和业务互通是NGN研究的关键内容，NGN的体系架构将是层次化的，其控制和管理之间的界面日益模糊，在技术上将解决现有网络存在的问题。NGN是全球基础设施GII的具体实现，ITU-T 第13研究组将开始准备和组织NGN标准化项目的实施，2004年全面定义有关NGN的内涵、相关的网络体系模型和实施导则。

　　ITU-T和ETSI认为，有关NGN应研究以下关键的技术领域：

　　（1）体系结构和协议：研究确定NGN网络体系和参考模型；研究NGN的协议分层体系，以体现NGN业务和网络分离的特性；研究基于GMPLS的控制和协议体系；研究光VPN的体系结构和协议；考虑使用通用的参考模型来标识运营商内或运营商间支撑NGN所需要的通信流程；定义与传统终端所需要的互通功能；定义BICC协议用于中继层面；确定跨越异构网络如何支撑端到端业务、呼叫控制和用户移动性。根据终端App升级机制和版本协商等因数定义NGN类终端的功能。

　　（2）网络控制和端到端的QoS：研究和定义QoS业务量工程要求；研究基于GMPLS/以太网传送的OAM和链路控制协议；完成用于话音的端到端QoS等级，研究用于端到端多媒体业务QoS的等级要求及其各自媒体组件的QoS等级要求；研究如何使用网络低层的QoS机制获得高层QoS；研究运营商间网络低层QoS控制机制；研究QoS的端用户规则；研究传输网规模对QoS的影响和接入网上传输呼叫对QoS的影响等。

　　（3）业务平台：定义包括API和代理因素的业务要求和业务控制体系；完善跨越多网络的业务互联和用户漫游所需要的业务支撑和提供机制；开发支撑用户控制和客户化业务的机制，研究用户移动性的业务平台的影响等。

　　（4）网络管理：实现NGN网络的一个重要条件是必须有一个适当的网络管理解决方案，由于NGN是基于开放式接口并且允许不同种类的业务进入一个网络，网络管理必须在多厂商和多业务的环境下进行，因此有必要定义适用于NGN要求的基本网络管理业务和接口（故障管理、性能管理、用户管理、计费管理、业务量和路由管理等）；研究光网络的FCAPS（故障、配置、计费、性能、业务）模型；完善和增强核心网络管理的体系等。

　　（5）网络安全：NGN网络的一个特点是开放式接口增多，安全性方面的风险也相应增大，因此有必要开发NGN的安全性体系和操作安全性导则；开发NGN所需的特定安全性协议，API和工具，例如加密、信息摘要和数字签名等。

　　（6）其它问题：研究会晤和呼叫管理（包括用于计费、统计和故障监视的可靠的事件记录等），研究支撑紧急呼叫业务和优先服务的机制，研究NGN网络的编址等。

　　3.NGN网络建设中的安全问题

　　与传统电路交换网和交换设备相比，分组网络更容易受到外来的入侵，而以开放性为特征的NGN由于基于IP技术，更面临安全性的挑战。除了网络安全外，信息安全更为用户所密切关注，网络功能越强，用户的隐私保护问题无法回避，而在政府、金融、军队等具有特殊意义的机构，对信息的保护就显得更为重要。同时，安全性不应以降低使用方便性和过多增加网络成本为代价，需要综合考虑体系的开放性与安全性，设计NGN组合安全体系、开发特定的安全协议和API。

　　NGN网络的安全问题主要包括网络安全和用户数据安全两个方面。网络安全是指软交换网络本身的安全，即保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了IP网作为承载网，网络安全问题尤其突出，必须在IP网上采用合适的安全策略，以保证软交换网的网络安全。用户数据安全是指用户的账户信息和通信信息的安全，即不会被非法的第三方窃取和监听。首先，软交换网需采用必需的安全认证策略保证用户账户信息的安全，同时，无论是用户的账户信息还是用户的通信信息的安全均需要IP网的安全策略作为保证。

　　用通俗的四个“不”可以很形象的概括NGN网络安全所要达到的目标：进不来，拿不走，看不懂，逃不掉。而对应的安全措施主要有，边界隔离、访问控制、数据加密、审计。

　　边界隔离，首先要求媒体网关、软交换等网络设备应具备一定的反入侵能力以增强系统的安全性；同时需要配备专用的隔离设备，如网关、防火墙，达到内网与外网的隔离。不过业界对现有的一些技术提出了一些质疑，如原有的NAT仅对IP包的地址及端口号进行转换，而H.248及SIP等协议真正的媒体连接信息是放在SDP（即IP包的负载）中传递的，这部分的私网地址是无法被NAT映射成公网地址传到对方用户的，因此媒体流实际是无法真正建立起来的；且NAT如何保持所记录的会话地址转换直到通话结束才被删除，这都是目前这一领域需要解决的问题。目前偏重的两种解决方案，一种是使用能够解析相关应用协议（如SIP）的增强型NAT，即应用层网关（ALG）；另一种是在NAT的外侧增加代理服务器。

　　数据加密方式应在网络层和用户层两层实现，网络层保证子网-子网之间通信的安全性，以子网间连接为单位，子网之间两两密钥共享。用户层加密，保证用户-用户和用户-服务器之间的安全通信，以用户间连接为单位，用户之间或用户与服务器之间两两密钥共享。

　　同样的使用用户层的密码技术实现网络中的访问控制，可与数据加密机制结合使用，保证用户身份的合法性。根据网络的规模和系统需求采用集中认证或分布式认证。集中式认证即为在网络中设立统一的认证服务器，所有用户均需经过他统一身份认证，确定访问权限。分布式认证分为按业务分布式认证和按子网分布式认证两种模式。

　　审计机制可以保证操作的不可抵赖性，针对用户和针对管理员均需设立审计机制。如同前面提到的，在NGN网络中，软交换、网关、服务器、IAD设备等NGN部件的地位都类似于网络主机设备，因此要求这些设备应具备数据网中主机设备所具有的安全规格，如管理员登录管理和审计措施等。用户在网络中的操作也需要有相应的纪录，做到有据可查。为了进一步保证审计措施的有效性，也应将其与密码技术相结合。

　　当然，如果要全面保证NGN网络的安全，还应考虑的更全面，在更多层次上采用相应的安全措施。如物理上的机房和楼道的安全防盗，针对人员的安全管理条例的制定等。在这里就不做细述了。

　　4.结束语

　　目前虽然不少厂家推出了NGN的解决方案，国内外各运营商也在积极进行相关的试验，但新技术的应用需要相当长的时间来完善。目前NGN从信令系统到体系结构都还需要逐步完善和成熟，相应的产品仍在探索之中，但积极试验和发展NGN已成为目前电信界考虑的重大战略性趋势。当前我国大力加强信息安全保障工作，作为下一代的网络交换技术，应该提前对其安全性进行分析，在安全性和可靠性等方面具备自己的解决方案，建立安全的NGN网络技术规范，为我国下一代电信网络安全应用打好基础。